Microsoft Perşembe günü, kimyasal element temalı takma ad Polonium altında izlediği daha önce belgelenmemiş bir tehdit aktörü tarafından OneDrive’ın kötüye kullanılmasından kaynaklanan kötü amaçlı etkinliği devre dışı bırakmak için adımlar attığını söyledi.
Teknoloji devi Tehdit İstihbarat Merkezi (MSTIC), Lübnan merkezli faaliyet grubu tarafından oluşturulan rahatsız edici hesapları kaldırmanın yanı sıra, oluşturulan 20’den fazla kötü amaçlı OneDrive uygulamasını askıya aldığını ve etkilenen kuruluşlara bildirimde bulunduğunu söyledi.
MSTIC, “Gözlemlenen faaliyet, öncelikle kurban örtüşmesi ve araç ve tekniklerin ortaklığı temelinde İran İstihbarat ve Güvenlik Bakanlığı’na (MOIS) bağlı diğer aktörlerle koordine edildi.” değerlendirildi “orta derecede güven” ile.
Düşman kolektifin, Şubat 2022’den bu yana İsrail merkezli 20’den fazla kuruluşu ve Lübnan’da faaliyet gösteren bir hükümetler arası kuruluşu ihlal ettiğine inanılıyor.
İlgilenilen hedefler arasında üretim, BT, ulaşım, savunma, hükümet, tarım, finans ve sağlık sektörlerindeki kuruluşlar yer aldı ve bir bulut hizmeti sağlayıcısı, tedarik zinciri saldırısı durumunda bir alt havacılık şirketini ve hukuk firmasını hedef almak için tehlikeye attı.
Vakaların büyük çoğunluğunda, ilk erişimin Fortinet cihazlarındaki (CVE-2018-13379) bir yol geçiş kusurundan yararlanılarak elde edildiğine ve bir komuta bağlantı kuran CreepySnail gibi özel PowerShell implantlarını bırakmak için kötüye kullanıldığına inanılmaktadır. – takip eden eylemler için kontrol (C2) sunucusu.
Oyuncu tarafından kurulan saldırı zincirleri, kurbanları CreepyDrive ve CreepyBox adlı kötü amaçlı araçları kullanan C2 için OneDrive ve Dropbox hesapları gibi meşru bulut hizmetlerinden yararlanan özel araçların kullanımını içeriyor.
Araştırmacılar, “İmplant, tehdit aktörünün çalınan dosyaları yüklemesine ve çalıştırmak için dosyaları indirmesine izin veren temel işlevsellik sağlıyor” dedi.
İranlı tehdit aktörleri bulut hizmetlerinden ilk kez yararlanmıyor. Ekim 2021’de Cybereason, MalKamak adlı bir grup tarafından C2 iletişimi için Dropbox kullanan ve radarın altında kalma girişiminde bulunan bir saldırı kampanyasını ifşa etti.
Ek olarak, MSTIC, Polonium tarafından tehlikeye atılan birden fazla kurbanın daha önce ABD Siber Komutanlığı tarafından MOIS içinde “alt bir unsur” olarak nitelendirilen MuddyWater (aka Merkür) adlı başka bir İranlı grup tarafından hedef alındığını kaydetti.
Kurban çakışmaları, MuddyWater’ın Winnti (Çin) ve Lazarus Group (Kuzey Kore) çizgisinde birden fazla ekibin oluşturduğu bir “birleşme” olduğuna dair daha önceki haberlere güven veriyor.
Bu tür tehditlere karşı koymak için müşterilere, gereksiz izinleri en aza indirmek için çok faktörlü kimlik doğrulamayı etkinleştirmeleri ve iş ortağı ilişkilerini gözden geçirmeleri ve denetlemeleri önerilir.